如何将审计日志推送到qradar上

Question

我希望将RHEL/Ubuntu机器上的所有auditd日志都推到另一个实例上配置的qradar服务器上。有什么办法可以完成这件事吗？

用例服务器-1有一个运行服务器-2的QRadar实例，我的应用程序已经配置了日志，并且审计日志也被写入了.

如何配置服务器2审计日志指向QRadar服务器？

谢谢

Answer 1

如果我理解您的问题，您的配置如下所示。

服务器1正在运行QRadar (我猜从您的帖子来看，它是一个全部在一个服务器中，而不是托管主机或独立控制台)。

服务器2是运行任意应用程序的HA对的一部分，该应用程序具有正确工作的rsyslog或syAdd.1-d。

您希望服务器2在服务器1上登录到QRadar。如果这是一个准确的摘要，那么解决方案很简单。

将服务器2日志设置为服务器1的ip地址。在服务器2的/etc/rsyAdd.1-.conf文件中添加一个条目

*.*      @10.10.0.8:514

在我放置10.10.0.8的地方，您将您的QRadar以太网接口的ip地址作为事件收集器。

在您的QRadar控制台管理选项卡/applet(取决于QRadar的版本)上，您将转到日志源。使用UDP和服务器1的IP添加通用LEEF日志源。保存日志源。

部署更改时，您不需要重新启动事件收集服务，但是如果提示您这样做，如果您有QRadar 7.3.1，或者在控制台上在维护窗口中重新启动服务主机上下文，请使用GUI。一堆服务将重新启动。Tomcat可能要花费很长时间才能重新启动，所以服务Tomcat状态是您的朋友。当主机上下文说它是重新启动时，请检查Tomcat和httpd服务，以确保它们都在运行。

清除浏览器缓存，重新登录。取决于服务器的日志记录量和内容，您应该在大约十分钟内看到日志，但可能需要更长的时间。如果

如果它们不出现，请检查未解析的日志条目。您可能需要为应用程序添加另一个日志源，并为服务器设置日志解析顺序.但这是另一个问题。